Avamar: Kuinka korvata Apache Web Server SHA-1 -allekirjoitettu SSL-varmenne

Zhrnutie: Tässä artikkelissa kerrotaan, miten Apache Web Server SHA-1 -allekirjoitettu SSL-varmenne korvataan.

Tento článok sa vzťahuje na Tento článok sa nevzťahuje na Tento článok nie je viazaný na žiadny konkrétny produkt. V tomto článku nie sú uvedené všetky verzie produktov.
Pozrite si ďalšie zdroje

Symptómy

Kun yrität muodostaa verkkoselaimella yhteyden NetWorker Virtual Edition (NVE)-, Avamar-palvelimeen tai Avamar Extended Retention (AER) -solmuun, selain ilmoittaa verkkoyhteysvirheestä eikä pysty muodostamaan yhteyttä, vaikka NVE-, Avamar- tai AER-solmun Apache-verkkopalvelin toimii normaalisti.

 

Príčina

Suurimmat verkkoselaintoimittajat ovat lopettaneet SHA-1:llä allekirjoitettujen SSL-varmenteiden tuen 1.1.2017 alkaen. Tietyt NVE-, Avamar- ja AER-oletusvarmenteet allekirjoitetaan SHA-1:llä.

 

Riešenie

  1. Kirjaudu Avamar Utility Nodeen tai Single Node -palvelimeen admin-käyttäjänä ja vaihda root-käyttäjäksi suorittamalla seuraava komento:

    su -
    Huomautus: Perässä - on tärkeää!

  2. Vaihda hakemistot Apache-määrityshakemistoon:

    cd /etc/apache2

  3. Varmista, että nykyinen varmenne on allekirjoitettu SHA-1:llä:

    openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

    Esimerkkitulos:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
        Signature Algorithm: sha1WithRSAEncryption
    Signature Algorithm: sha1WithRSAEncryption
    Huomautus: Jos allekirjoitusalgoritmiksi ei ilmoiteta SHA-1:tä, älä jatka tätä toimenpidettä

  4. Varmuuskopioi olemassa oleva varmenne:

    cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

  5. Luo "varmenteen allekirjoituspyyntö" olemassa olevasta varmenteesta:

    openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

    Esimerkkitulos:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Getting request Private Key
Generating certificate request

  6. Tarkista, onko varmenne itse allekirjoitettu vai varmenteen myöntäjän allekirjoittama (CA-allekirjoitettu):

    [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
    Huomautus: Tämä komento on annettava yhdelle riville. Kaikki välimerkit ovat tärkeitä. On suositeltavaa kopioida ja liittää.

    Myöntäjän allekirjoittaman varmenteen näytetulos:

    root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
CA Signed

    Esimerkki itse allekirjoitetun varmenteen tuloksesta:

    root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
Self-signed

  7. Luo ja asenna vaihtovarmenne:

    1. CA-allekirjoitetut varmenteet:
      1. Anna varmenteen myöntäjälle kopio vaiheessa 5 luodusta varmenteen allekirjoituspyynnöstä ja pyydä, että se luo korvaavan varmenteen vahvaa allekirjoitusalgoritmia käyttäen. Varmenteen allekirjoituspyyntö sijaitsee osoitteessa "/etc/apache2/ssl.csr/server.csr"
      2. Aseta varmenteiden myöntäjän antama allekirjoitettu varmenne Avamar-palvelimeen kansioon /etc/apache2/ssl.crt/server.crt
      3. Ohita vaihe 7b ja jatka vaiheen 8 menettelyä
      Huomautus: Jos varmenteiden myöntäjä toimitti uuden varmenteen mukana yhden tai useamman päivitetyn varmenneketjutiedoston, katso asennusohjeet liitteestä A.
    2. Itse allekirjoitetut varmenteet:
      1. Luo ja asenna korvaava varmenne 
        openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
        Esimerkkitulos: 
        root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

  8. Varmista, että uusi varmenne on allekirjoitettu SHA-256:lla tai muulla vahvalla allekirjoitusalgoritmilla:

    openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

    Esimerkkitulos:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
        Signature Algorithm: sha256WithRSAEncryption
    Signature Algorithm: sha256WithRSAEncryption

  9. Käynnistä Apache-verkkopalvelin uudelleen:

    website restart

    Esimerkkitulos:

    root@avamar:/etc/apache2/#: website restart
===Shutting down website
Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
===Starting website
Starting httpd2 (prefork)

  10. Menettely valmis

 

Ďalšie informácie

Liite A - Päivitetyn vähintään yhden varmenneketjutiedoston asentaminen

  1. Kopion luominen olemassa olevasta varmenneketjusta

    cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`
  2. Asenna yksi tai useampi päivitetty varmenneketjutiedosto
    1. Jos varmentaja on toimittanut erillisiä välivarmenteita, yhdistä ne yhdeksi ketjutiedostoksi: 
      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
    2. Muussa tapauksessa aseta varmentajan toimittama yksiketjuinen tiedosto Avamar-palvelimeen kansioon /etc/apache2/ssl.crt/ca.crt

 

Dotknuté produkty

Avamar

Produkty

Avamar
Vlastnosti článku
Číslo článku: 000170753
Typ článku: Solution
Dátum poslednej úpravy: 13 jan 2026
Verzia:  5
Nájdite odpovede na svoje otázky od ostatných používateľov spoločnosti Dell
Služby podpory
Skontrolujte, či sa na vaše zariadenie vzťahujú služby podpory.